INFORME DE AUDITORA DE SEGURIDAD

PROTECCIN DE DATOS DE CARCTER PERSONAL

CLNICA DENTAL
_______________________________________
Granada, __________________________________________

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:

1. Antecedentes
El presente Informe se elabora tras la realizacin de una Auditora de los sistemas de
informacin e instalaciones de tratamiento de datos personales titularidad de la clnica
dental
El mismo constituye lo que en el artculo 110 de la actual normativa en materia de
proteccin de datos personales se denomina Auditoria Interna indicada para revisar el
cumplimiento del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de
proteccin de datos de carcter personal que viene a derogar al anterior Real Decreto
994/1999, de 11 de junio, por el que se aprobaba el Reglamento de Medidas de
Seguridad de los ficheros automatizados que contuviesen datos de carcter personal los
procedimientos y las instrucciones vigentes en materia de seguridad de datos.

2. Normativa
La Auditora ha sido realizada para comprobar y verificar el cumplimiento de las
medidas de seguridad en materia de proteccin de datos de carcter personal dispuestas
por el Reglamento de Seguridad y detalladas en el Documento de Seguridad de
elaborado por la clnica dental, utilizando para ello la siguiente normativa:
-

Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter

Personal (BOE nm.298 de 14 de diciembre de 1999).

Real Decreto 195/2000, de 11 de febrero, por el que se establece el plazo para

implantar las medidas de seguridad de los ficheros automatizados previstas por el
Reglamento aprobado por el Real Decreto 994/1999, de 11 de junio (BOE nm.49
de 26 de febrero de 2000).

RESOLUCIN de 22 de junio de 2001, de la Subsecretara por la que se dispone

la publicacin del Acuerdo de Consejo de Ministros por el que se concreta el plazo
para la implantacin de medidas de seguridad de nivel alto en determinados
sistemas de informacin. (BOE nm.151 de 25 de junio de 2001).

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento

de desarrollo de la Ley Orgnica 1571999, de 13 de diciembre, de proteccin de
datos de carcter personal (BOE nm.17 de 19 de enero de 2008).

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:
3. Identificacin del Responsable del fichero o tratamiento.
Datos de la clnica dental auditada:
Nombre o razn social

C.I.F.

Domicilio social

Objeto social

ElDiagnsticoyeltratamientodelasalud
bucodentaldelospacientes.

El desarrollo de la auditora se ha realizado para la revisin in situ de las instalaciones

de tratamiento de datos y sistemas de informacin en los locales de la Clnica dental
situada en la calle ..

4. Ficheros o tratamientos objeto de la Auditora.

Los tratamientos auditados objeto del presente informe responsabilidad de
auditado, han sido los correspondientes a los niveles
de seguridad Alto, que el que corresponde a los ficheros de una clnica dental de
acuerdo con los criterios establecidos en el Documento de Seguridad y el Reglamento
de Seguridad. A continuacin, se describen brevemente algunas caractersticas de los
tratamientos que se desprenden de los formularios de inscripcin presentados ante el
Registro General de Proteccin de Datos:
Fichero/Tratamiento
PACIENTES
Ubicacin principal
Finalidad
Gestin de la salud
Nivel de seguridad
Alto
Fichero/Tratamiento
Ubicacin principal
Finalidad
Nivel de seguridad

PROVEEDORES
Gestionar la relacin con los proveedores
de bienes y servicios a la clnica
Bajo
3

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:
Fichero/Tratamiento
Ubicacin principal
Finalidad

Nivel de seguridad

PERSONAL
Cumplimiento de las obligaciones legales
derivadas de la relacin laboral de los
empleados de la clnica dental
Alto

Actualmente no existe ningn otro fichero inscrito ante el Registro General de

Proteccin de Datos.

5. Estudio de los niveles de seguridad

De conformidad con la informacin obrante en las notificaciones de inscripcin de los
ficheros que contienen datos de carcter personal auditados y, a la existente en los
sistemas e instalaciones de tratamiento de la Clnica auditada, a continuacin se ponen
de manifiesto las siguientes cuestiones respecto a los niveles de seguridad asignados a
cada fichero:
FICHERO PACIENTES
Nivel asignado por el responsable del fichero: ALTO
Nivel que le corresponde a juicio del auditor: ALTO
FICHERO PROVEEDORES
Nivel asignado por el responsable del fichero: BAJO
Nivel que le corresponde a juicio del auditor: BAJO
FICHERO PERSONAL
Nivel asignado por el responsable del fichero: ALTO
Nivel que le corresponde a juicio del auditor: ALTO
FICHERO
Nivel asignado por el responsable del fichero:
Nivel que le corresponde a juicio del auditor:
6. Lista de distribucin
El presente informe quedar guardado, de conformidad a lo dispuesto en la normativa
correspondiente, a disposicin de las autoridades competentes, habiendo sido elaborado
por la persona encargada/autorizada del tratamiento de los ficheros:
4

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:
Nombre y apellidos

Cargo / Departamento

7. Adecuacin de las medidas y controles internos al Reglamento de Seguridad.

En relacin a los tratamientos auditados, a continuacin se ponen de manifiesto, de
acuerdo con lo dispuesto en el Reglamento de Seguridad, los hechos, datos y
observaciones revisados y comprobados por el auditor respecto de la adecuacin de los
mismos a las medidas de seguridad establecidas en la normativa vigente relativa a
seguridad de datos personales, as como la identificacin de todas las deficiencias
encontradas y la propuesta de medidas correctoras o complementarias recomendadas a
adoptar en la clnica dental.
(A CONTINUACIN HACEMOS UNA RELACIN DETALLADA A MODO DE
EJEMPLO, LO QUE NO CORRESPONDA HABR QUE MODIFICARLO)
7.1. Documento de Seguridad
Artculo 88 del Reglamento de Seguridad: 1El responsable del fichero o tratamiento elaborar un
documento de seguridad que recoger las medidas de ndole tcnica y organizativa acordes a la
normativa de seguridad vigente que ser de obligado cumplimiento para el personal con acceso a los
sistemas de informacin. 3. El documento deber contener, como mnimo, los siguientes aspectos: a)
mbito de aplicacin del documento con especificacin detallada de los recursos protegidos b) Medidas,
normas, procedimientos de actuacin, reglas y estndares encaminados a garantizar el nivel de
seguridad exigido en este reglamento c) Funciones y obligaciones del personal en relacin con el
tratamiento de los datos de carcter personal incluidos en los ficheros d)Estructura de los ficheros con
datos de carcter personal y descripcin de los sistemas de informacin que los tratan e) Procedimiento
de notificacin, gestin y respuesta ante las incidencias f)Los procedimientos de realizacin de copias de
respaldo y de recuperacin de los datos en los ficheros o tratamientos automatizados g) Las medidas que
sea necesario adoptar para el transporte de soportes y documentos, as como para la destruccin de los
documentos y soportes, o en su caso, la reutilizacin de estos ltimos
Artculo 88.4 del Reglamento de Seguridad: El documento de seguridad deber contener, adems, de
lo indicado anteriormente, la identificacin del responsable o responsables de seguridad, los controles
peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento

7.1.1. El Documento de Seguridad de la Clnica Dental se encuentra en un archivo de la

misma situado en la calle ..
7.1.2. Se ha verificado que el Documento de Seguridad no est actualizado.
7.1.3. Se ha verificado que se realizan controles peridicos por parte del Responsable de
Seguridad para el cumplimiento del Documento de Seguridad del Colegio.
5

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:
7.1.4. Se ha verificado que el Responsable de Seguridad se haya correctamente
nombrado y designado.

7.2. Funciones y obligaciones del personal.

Artculo 89 del Reglamento de Seguridad: 1. Las funciones y obligaciones de cada uno de los usuarios
o perfles de usuarios con acceso a los datos de carcter personal y a los sistemas de informacin
estarn claramente definidas y documentadas en el documento de seguridad. Tambin se definirn las
funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
2. El responsable del fichero o tratamiento adoptar las medidas necesarias para que el personal
conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones
as como las consecuencias en que pudiera incurrir en caso de incumplimiento.

7.2.1. Se ha verificado que el personal de la clnica dental conoce y cumple las

obligaciones y los deberes en materia de proteccin de datos.

7.3. Control de Accesos fsicos a las instalaciones y equipos informticos

Artculo 98 del Reglamento de Seguridad: Exclusivamente el personal autorizado en el documento de
seguridad podr tener acceso a los lugares donde se hallen instalados los equipos fsicos que den soporte
a los sistemas de informacin

7.3.1. Se ha verificado y comprobado que la clnica dental no dispone de un listado de

usuarios autorizados para acceder a los locales donde se encuentran los datos personales
y el resto de informacin.
7.4. Control de accesos, identificacin y autenticacin
Artculo 91 del Reglamento de Seguridad: 1. Los usuarios tendrn acceso nicamente a aquellos
recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargar de
que exista una relacin actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para
cada uno de ellos. 3. El responsable del fichero establecer mecanismos para evitar que un usuario
pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal
autorizado para ello en el documento de seguridad podr conceder, alterar o anular el acceso autorizado
sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
Artculo 93 del Reglamento de Seguridad: 1. El responsable del fichero o tratamiento deber adoptar
las medidas que garanticen la correcta identificacin y autenticacin de los usuarios. 2. El responsable
del fichero o tratamiento establecer un mecanismo que permita la identificacin de forma inequvoca y
personalizada de todo aquel usuario que intente acceder al sistema de informacin y verificacin de que
est autorizado.

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:
7.4.1. Se ha comprobado y verificado que la clnica dental dispone de una relacin de
usuarios actualizada y completa que tiene acceso a los datos personales titularidad de la
misma.
7.4.2. Se ha verificado que la clnica dental dispone de sistemas de identificacin y
autenticacin individuales y distintos de los usuarios autorizados.
7.4.3. Se ha verificado que el responsable de la clnica dental asigna y distribuye, a cada
uno de los usuarios autorizados, las contraseas correspondientes.
7.4.4. Se ha verificado que las contraseas se renuevan peridicamente, cada mes, y que
se almacenan a travs del programa .. para clnicas dentales.
7.4.5. Se ha verificado que los usuarios tienen acceso nicamente a los datos y recursos
que precisan para el desarrollo de sus funciones.
7.4.6. Se ha verificado que el programa informtico que se utiliza registra
automticamente los accesos que se hacen a los datos de nivel alto.
7.4.7. Se ha verificado que el sistema informtico bloquea el acceso reiterado de un
determinado usuario no autorizado.
7.5. Registro de Incidencias
Artculo 90 del Reglamento de Seguridad: Deber existir un procedimiento de notificacin y gestin de
las incidencias que afecten a los datos de carcter personal y establecer un registro en el que se haga
constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que
realiza la notificacin a quin se le comunica, los efectos que se hubieran derivado de la misma y las
medidas correctoras aplicadas .
Artculo 100 del Reglamento de Seguridad: 1. En el registro regulado en el artculo 90 debern
consignarse, adems, los procedimientos realizados de recuperacin de los datos, indicando la persona
que ejecut el proceso, los datos restaurados y, en su caso, qu datos ha sido necesario grabar
manualmente en el proceso de recuperacin. 2. Ser necesaria la autorizacin del responsable del
fichero para la ejecucin de los procedimientos de recuperacin de los datos.

7.5.1. Se ha comprobado y verificado que existe un Registro de Incidencias titularidad

de la clnica dental.
7.5.2. Se ha verificado que la clnica dental dispone de un sistema de recuperacin de
datos, a travs del propio software de las copias de seguridad del programa.
7.6. Registro de Auditoras

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:
Artculo 98 del Reglamento de Seguridad: A partir del nivel medio los sistemas de informacin e
instalaciones de tratamiento y almacenamiento de datos se sometern, al menos cada dos aos, a una
auditora interna o externa, que verifique el cumplimiento del presente ttulo.
Con carcter extraordinario deber realizarse dicha auditora siempre que se realicen modificaciones
sustanciales en el sistema de informacin que puedan repercutir en el cumplimiento de las medidas de
seguridad implantadas con el objeto de verificar la adaptacin, adecuacin y eficacia de las mismas.
Esta auditora inicia el cmputo de los aos sealado en el prrafo anterior.
. 2. El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles a la Ley y
su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o
complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se
basen los dictmenes alcanzados y las recomendaciones propuestas. 3. Los informes de auditora sern
analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable del
fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarn a disposicin de la
Agencia Espaola de Proteccin de Datos, o en su caso, de las autoridades de control de las
comunidades autnomas.

7.6.1. Se ha verificado y comprobado que la clnica dental dispone de un Registro de

Auditoras y que est debidamente actualizado.
7.7. Registro de Accesos
Artculo 103 del Reglamento de Seguridad: De cada intento de acceso se guardarn, como mnimo, la
identificacin del usuario, la fecha y hora en que se realiz, el fichero accedido, el tipo de acceso y si ha
sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, ser preciso guardar la
informacin que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de
accesos estarn bajo el control directo del responsable de seguridad competente sin que deban permitir
la desactivacin ni la manipulacin de los mismos. 4. El perodo mnimo de conservacin de los datos
registrados ser de dos aos. 5. El responsable de seguridad se encargar de revisar al menos una vez al
mes la informacin de control registrada y elaborar un informe de las revisiones realizadas y los
problemas detectados. 6. No ser necesario el registro de accesos definido en este artculo en caso de
que concurran las siguientes circunstancias: a) Que el responsable del fichero o del tratamiento sea una
persona fsica. b) Que el responsable del fichero o del tratamiento garantice que nicamente l tiene
acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deber hacerse
constar expresamente en el documento de seguridad.

7.7.1. Se ha verificado que la clnica dental dispone de un Registro de Accesos a los

datos personales de los pacientes de la misma, indicando a su vez el nivel de acceso que
tienen los usuarios autorizados.

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:
7.8. Soportes
Artculo 92 del Reglamento de Seguridad: 1. Los soportes y documentos que contenga datos de
carcter personal debern permitir identificar el tipo de informacin que contienen, ser inventariados y
slo debern ser accesibles por el personal autorizado para ello en el documento de seguridad.
2. La salida de soportes y documentos que contengan datos de carcter personal, incluidos los
comprendidos y/o anejos a un correo electrnico, fuera de los locales bajo el control del responsable del
fichero o tratamiento deber ser autorizada por el responsable del fichero o encontrarse debidamente
autorizada en el documento de seguridad. 4. Siempre que vaya a desecharse cualquier documento o
soporte que contenga datos de carcter personal deber procederse a su destruccin o borrado,
mediante la adopcin de medidas dirigidas a evitar el acceso a la informacin contenida en el mismo o
su recuperacin posterior.
Artculo 97 del Reglamento de Seguridad: 1. Deber establecerse un sistema de registro de entrada de
soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora,
el emisor, el nmero de documentos o soportes incluidos en el envo, el tipo de informacin que
contienen, la forma de envo y la persona responsable de la recepcin que deber estar debidamente
autorizada. 2. Igualmente, se dispondr de un sistema de registro de salida de soportes que permita,
directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el
nmero de documentos o soportes incluidos en el envo, el tipo de informacin que contienen, la forma
de envo y la persona responsable de la entrega que deber estar debidamente autorizada.

7.8.1. Se ha comprobado y verificado que no existe ningn sistema de identificacin de

soportes que contengan datos personales titularidad de la clnica dental.
7.8.2. Se ha verificado y comprobado que los soportes se guardan en un lugar de acceso
restringido a usuarios autorizados, en concreto en un archivo bajo llave.
7.8.3. Se ha verificado y comprobado que el Responsable del Fichero autoriza las
salidas que puedan realizarse de los soportes que contienen datos personales.
7.8.4. Se ha verificado que la clnica dispone de un Registro en el que se anotan todas
las entradas y salidas de soportes que contienen datos personales.
7.8.5. Se ha verificado que la distribucin de soportes no se hace de forma cifrada.
7.8.6. Se ha verificado que no se transmiten datos personales de nivel alto por medio de
redes de telecomunicaciones
7.8.7. Se ha comprobado que no se utiliza ningn sistema de cifrado o encriptacin para
el envo por redes de telecomunicaciones de datos de nivel alto.
7.8.8. Se ha comprobado que la clnica dental no dispone de un procedimiento de
inventario de soportes.

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:
7.9. Copias de seguridad
Artculo 94 del Reglamento de Seguridad: 1. Debern establecerse procedimientos de actuacin para
la realizacin como mnimo semanal de copias de respaldo, salvo que en dicho periodo no se hubiera
producido ninguna actualizacin de los datos. 2. Asimismo, se establecern procedimientos para la
recuperacin de los datos que garanticen en todo momento su reconstruccin en el estado en que se
encontraban al tiempo de producirse la prdida o destruccin. 3. El responsable del fichero se encargar
de verificar cada seis meses la correcta definicin, funcionamiento y aplicacin de los procedimientos de
realizacin de copias de respaldo y de recuperacin de los datos.
Artculo 102 del Reglamento de Seguridad: Deber conservarse una copia de respaldo de los datos y
de los procedimientos de recuperacin de los mismos en un lugar diferente de aquel en que se encuentren
los equipos informticos que los tratan, que deber cumplir en todo caso las medidas de seguridad
exigidas en este ttulo, o utilizando elementos que garanticen la integridad y recuperacin de la
informacin, de forma que sea posible su recuperacin.

7.9.1. Se ha verificado que la clnica dental realiza copias de seguridad semanalmente

de los datos personales titularidad de la misma.
7.9.2. Se ha verificado que la clnica dental dispone de un sistema que garantiza la
reconstruccin cuando se pierden o destruyen.
7.9.3. Se ha verificado que las copias de seguridad se guardan fuera de los locales en los
que se encuentran los equipos informticos.
7.10. Autorizaciones y avisos legales
Artculo 5 de la LOPD: 1. Los interesados a los que se soliciten datos personales debern ser
previamente informados de modo expreso, preciso e inequvoco: a) de la existencia de un fichero o
tratamiento de datos de carcter personal, de la finalidad de la recogida de stos y de los destinatarios
de la informacin; b) del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas; c) de las consecuencias de la obtencin de los datos o de la negativa a suministrarlos; d) de
la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin; e) de la
identidad y direccin del responsable del tratamiento o, en su caso, de su representante.

7.10.1. Se ha verificado que al paciente se le entrega un aviso legal o autorizacin para

poder tratar sus datos personales.
7.10.2. Se ha comprobado que la clnica dental tiene suscritos contratos con los
colaboradores que tienen acceso a los datos para prestar sus servicios a la misma.

10

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:

8. Deficiencias detectadas
8.1. Deficiencias del Reglamento de Seguridad
A continuacin de la adecuacin de la actividad de la Clnica
dental
al Reglamento de Seguridad, y a la vista de cuanto antecede se hace especial mencin
de que las deficiencias detectadas son las que constan en los apartados: 7.1.2., 7.3.1.,
7.8.1., 7.8.5., 7.8.8. y 7.10.2.
9. Medidas correctoras
A continuacin se proponen una serie de medidas correctoras en funcin de las
deficiencias detectadas en el epgrafe anterior:
9.1. Medidas correctoras del Reglamento de Seguridad
9.1.1. En relacin con el apartado 7.1.2., se recomienda que el documento de seguridad
est actualizado en todo momento.
9.1.2. En relacin con el apartado 7.3.1., se recomienda que la clnica dental disponga
de un control de acceso fsico a los locales donde se encuentren los datos personales
titularidad de la misma.
9.1.3. En relacin con el apartado 7.8.1., se recomienda que la clnica dental disponga
de un sistema de identificacin de los soportes que contengan datos personales.
9.1.4. En relacin con el apartado 7.8.5., se recomienda que la distribucin de soportes
se realice de forma cifrada.
9.1.5. En relacin con el apartado 7.8.8., se recomienda que la clnica dental disponga
de un sistema de inventario de soportes.
9.1.6. En relacin con el apartado 7.10.2., se recomienda que la clnica dental tenga
suscritos contratos con los colaboradores .. y gestoras que tengan acceso a
los datos de la misma.

11

Informe de Auditora Interna de Seguridad

CLNICA DENTAL:
10. Conclusiones para el Responsable del Fichero o Tratamiento
En Granada, a ..
Para finalizar el presente informe de auditora de las medidas de seguridad adoptadas en
las instalaciones y sistemas de informacin de la clnica dental
, a continuacin se presentan
las conclusiones al mismo, para un rpido conocimiento de la situacin en que se
encuentra la clnica auditado.
La situacin actual de la misma con relacin al nivel de cumplimiento de la legislacin
vigente en materia de seguridad de los datos de carcter personal respecto de sus
instalaciones y tratamiento, es FAVORABLE PERO CON LAS SALVEDADES de
que sean corregidas todas y cada una de las deficiencias detectadas y expuestas en el
apartado anterior y que deben adoptarse para acabar de adecuarse al Reglamento de
Seguridad. En todo caso, el resultado favorable del presente informe quedar
condicionado y sometido a la correcta implementacin de las medidas correctoras.
Se pone de manifiesto ante la clnica dental auditada que sta se encuentra sujeta al
rgimen sancionador establecido en la LOPD, as como que las infracciones en materia
de seguridad y en concreto, mantener los ficheros, locales, programas o equipos que
contengan datos de carcter personal sin las debidas condiciones de seguridad
establecidas en el Reglamento de Seguridad, estn tipificadas por la LOPD como
infraccin grave con sancin de 60.101,21 Euros a 300.506,05 Euros.
Asimismo, se deben adoptar las medidas correctoras adecuadas y, ambos informes, esto
es, el que se elabore con las mismas y el presente documento, deben estar a disposicin,
en su caso, de la Agencia Espaola de Proteccin de Datos.
(HEMOS UTILIZADO, para que podis ver cmo se hace un modelo con,
DEFICIENCIAS,
MEDIDAS
CORRECTORAS,
Y FAVORABLE
CON
SALVEDADES. Pero evidentemente, podra no haber ninguna deficiencia, por lo que
no sera necesario utilizar medidas correctoras, siendo FAVORABLE, sin necesidad de
hacer ningn tipo de salvedad).
(Es decir que esta memoria sirve como referencia pero cada cul habr de adaptarla a la
situacin especfica de sus ficheros).
______________

12